網路安全不能止步于技術層面
- 發佈時間:2015-04-09 01:30:53 來源:科技日報 責任編輯:羅伯特
文·嚴望佳
■企業連線
在國家高度重視和業界共同努力下,我國網路安全和資訊化産業實現了較快發展,産品體系逐漸健全,産品種類不斷豐富,産品功能逐步向多樣化、整合化、系統化方向發展。國內網路安全和資訊化産業也越來越開放,國有企業、民營企業、外資企業、技術引進等不同類型企業、産品在市場中充分競爭,都取得了大量的成功案例。
但是,網路安全和資訊化産品還普遍面臨著産品生命週期、供應鏈風險、服務品質、安全漏洞、數據洩露等問題,特別是我國基礎軟體、晶片、作業系統、數據庫等産品領域,至今還是主要掌握在國外企業手中,由於政治、市場、文化、技術等方面的多種因素,國外企業産品的安全問題總令人隱隱地擔憂。
2000年,美國率先在國家安全系統中對採購的産品進行安全審查,隨後陸續針對聯邦政府雲計算服務、國防供應鏈等出臺了安全審查政策,實現了對國家安全系統、國防系統、聯邦政府系統的全面覆蓋。審查對象不僅涉及産品和服務,還會針對産品和服務提供商。隨後,美國等西方國家為保障國家安全、防範供應鏈安全風險,逐步建立了多種形式的網路安全審查制度。將全方位、綜合性的供應鏈安全審查對策上升至國家戰略高度。
我國也在積極推進網路安全審查制度,關係國家安全和公共利益的系統使用的重要資訊技術産品和服務,應通過網路安全審查。但審查內容和形式不能僅停留在技術層面上,要進行全方位審查,才能保證國家重要部門和行業的資訊技術産品和服務的資訊安全自主可控。
“供應鏈透明機制”是一種有效的達成安全可控性的手段。如果每一個供應商都能夠向網路安全審查備案機構(或者用戶)提供供應鏈上下游環節的情況,進而整個供應鏈就能夠做到一環一環的透明化清晰化,通過透明達到兼顧細節和整體的掌握與可控。
我國的資訊安全保障體系建設大多是在等級保護、分級保護等制度基礎上,以滿足合規為驅動。究其根本原因還在於我國對資訊安全的重視沒有提高到“以效果為導向”的程度,或者説還沒有找到更有效的方式來落實效果導向;同時,又伴隨著資訊安全領域中“三分技術七分管理” “資訊安全沒有100%安全”這種特點和説法,以及政府採購目錄以硬體産品為主、《採購法》以最低價為準繩的制度,交織反覆,最終形成我國資訊安全保障體系建設目前以合規為目標,最低價産品主導市場,整體行業低水準競爭,國家重要資訊系統安全保障能力的産業支撐力不足,國家網路空間對抗能力不足等系列惡性迴圈的現狀。
(作者為第十二屆全國政協委員、北京啟明星辰首席執行官)
- 股票名稱 最新價 漲跌幅